購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
436
閲覧回数
0
いいね!
0
コメント

[事象] Windows Connector 5.0以降でhistory.dbからファイルのアクセス頻度を計算できない

Kenichiro Kato
Cisco Employee
Cisco Employee

‎2017-03-30 11:25 AM ‎2018-03-09 06:41 PM 更新

Windows Connector 5.0以降から、history.dbを使って、ファイルのアクセス頻度を計算し、Exclusion設定のための情報を得ることが出来ない状態となっております。

前提条件として、Windows Connector 4.x以前の場合に高頻度でアクセスされるファイルを抽出する方法に関しては、以下のドキュメントをご参照ください。

http://www.cisco.com/c/en/us/support/docs/security/advanced-malware-protection-endpoints/118802-technote-fireamp-00.html#anc11

こちらは、以下の不具合による事象となります。

CSCvc16219 5.0.x Connector GUI shows less information in History than previous versions

2018年3月8日追記:こちらの不具合は、Windows Connector 5.1.9にて修正され、Verbose Historyを有効にすることで、以前と同様にhistory.dbからファイルのアクセス頻度が確認できるようになりました。

Verbose HistoryはConsoleの以下より設定が可能です。

Management -> Policies -> Edit Policy -> Advanced Settings -> File And Process Scan ->Verbose History

 

対応する方法について具体的な方法を2点ほど、紹介させていただきます。以下の方法については、TACサポート対象ではなく、お問い合わせに関してお答え致しかねますので、あくまでユーザ様の自己責任でご確認いただきますようお願いいたします。

まず、CSCの記事に記載されているPythonのツールを使って、historyをCSVに出力することが可能です。

https://supportforums.cisco.com/discussion/13214776/converting-historyexdb-v50

また、DiagnosticsをDebugログ取得設定にしたうえで、sfc.exe.logの中身を精査することによって、ある程度、近い情報を得ることができます。(Defaultの状態では、これらのログは取得ができません。)

例えば、以下のログによって、Cacheへのアクセスを試みていることが確認できますので、それを元にしてファイルへのアクセス数をカウントします。(Cloudへの問い合わせをする前に必ずCacheを確認するため、history.dbと類似の情報が得られます。)

(457318118, +0 ms) Mar 30 11:09:21 [2820]: Cache::Get: (SELECT disposition, strftime("%s", created_at), ttl, engineid, type, filetype, filesize, detection, action, nc, starttime  FROM cache where hash="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";)

これらを抽出し、尚且つ、アクセスが発生したHashをカウント、さらに頻出頻度をtop10で表示させるために、以下のコマンドを使います。以下はあくまで一つの例であり、必要な情報に応じて、工夫することが可能です。

cat sfc.exe.log | grep "Cache::Get: (SELECT" | awk '{print substr($0,index($0,"hash="),71)}' | sort | uniq -c | sort -nr | head -10

その結果、以下のように表示されます。

  657 hash="aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"
    223 hash="bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb"
    194 hash="cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc"
    156 hash="dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd"
     66 hash="eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee"
     41 hash="ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff"
     32 hash="gggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg"
     30 hash="hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh"
     29 hash="iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii"
     23 hash="jjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj"

あとは、上記のHashのファイルを端末中から探し出し、Exclusionを追加することが可能です。

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents